ゼロトラスト

ゼロトラストとは、日本語に直訳すると「何も信頼しない」という意味のセキュリティ概念です。2010年にアメリカの調査会社Forrester Researchによって提唱されました。それまでは、社内ネットワークに外部から不正アクセスされないように、社内ネットワークの入り口となる境界線上に集中してセキュリティ対策を施す「境界型防御」が主流でした。しかし、クラウドサービスの普及によって、外部のクラウド上にある業務システムを社内外から利用するケースが増えたことで境界線が不明瞭になり「外部は危険だけど社内は安全」という常識が通用しなくなりつつあります。

そのような環境の変化に対応するため、社内であろうと外部ネットワーク経由であろうと、すべて不正アクセスの可能性があるという前提でチェックするゼロトラストというコンセプトが生まれました。具体的には、権限を持っている人が正しい操作をしているか、許可されたデータやアプリケーションだけにアクセスしているかなど、毎回きちんと確認するという考え方です。

10年以上前に提唱されたゼロトラストが近年になって注目を集めている背景には、クラウドサービスの利用拡大に加え、新型コロナウイルス感染症の影響でテレワークを導入する企業が増えたことがあります。

総務省が2021年7月に公表した「情報通信白書」によると、クラウドサービスを「一部でも利用している」企業の割合は2020年で68.7%と約7割に達しました。2016年には46.9%でしたので、4年間で21.8ポイント上昇したことになります。クラウドサービスを利用している企業をさらに詳しく見ると、「全社的に利用している」企業が2020年には39.4%に達しています。

日本情報経済社会推進協会（JIPDEC）が2011年から毎年実施している「企業IT利活用動向調査」の2022年版によると、新型コロナウイルス感染症の流行を契機にテレワークを導入した企業は約5割、それ以前から導入している企業と合わせると約7割の企業でテレワークが常態化していることがわかりました。テレワークを導入している企業では、スマートデバイスやテレワーク環境で利用する機器、アプリケーションなどに対するセキュリティの強化が必要になります。

IDC Japanが国内企業のIT投資動向を調べた「2022年 国内ユーザー企業調査」によると、IT投資を「増加する」と回答した企業は33.8%で、前年に比べ約5ポイント増加しました。拡大するIT投資の重点項目としては、「クラウド移行」と「セキュリティ対策」が上位にあがっています。

これらの調査結果から、クラウドサービスの利用の拡大やテレワークの普及に伴って高まるセキュリティリスクに対応するため、企業のセキュリティ対策支出が増えていることがわかります。クラウドサービスやテレワーク環境に対応したセキュリティ対策を効率的に実施できるコンセプトとして、ゼロトラストに注目が集まっているといえるのではないでしょうか。

• 出典：IDC Japan「2022年 国内ユーザー企業調査」

テレワーク環境の導入で社員が様々なデバイスで自宅から社内ネットワークにアクセスするようになると、クラウドサービスだけでなく、利用するネットワークやデバイス向けのセキュリティ強化が必須になります。ゼロトラストはあくまでも概念であり、ゼロトラストを一気に実現してくれる単一のソリューションは存在しません。各企業が「クラウド」、「ネットワーク」、「デバイス」の3つの要素において、それぞれに適したセキュリティソリューションを選択して導入するのが現実的な手段となります。

セキュリティ対策が最重要課題となる一方で、テレワーク環境を利用する人の利便性も考慮すべきです。ネットワークにログインする時のみならず、アプリケーションを起動したり、データファイルにアクセスしたりするごとに何段階もの認証が求められる仕組みだと、セキュリティは強固なものになったとしても業務の生産性が低下してしまうでしょう。テレワーク環境は、それを利用して業務を行う人にとって、使い勝手のいいものでなければなりません。

また、多種多様なセキュリティソリューションを導入するとなると、それを運用・管理する人の負担も高まります。可能なら、複数のソリューションを一元的に管理できるような仕組みが望まれます。

ゼロトラストの概念に沿ったセキュリティ対策を行ったうえで、利用者の利便性や運用の最適化までをフレームワークとして落とし込んだのが、アメリカのGartnerが提唱する「Secure Access Service Edge（SASE、サシー）」です。SASEは、同社が2019年8月に公開したセキュリティレポート「The Future of Network Security Is in the Cloud」の中で初めて登場した言葉です。

レポートの中で、SASEは「包括的なWAN機能（SD-WAN）と包括的なネットワークセキュリティ機能（SWG、CASB、FWaaS、ZTNAなど）を組み合わせて、デジタル企業の常に変化するセキュアアクセスニーズをサポートする新しい方法」と定義されています。含まれる機能については、コア機能として7種類、推奨機能として6種類、オプション機能として4種類があげられていますが、SASEは比較的新しいフレームワークであり、今後、機能が追加・変更される可能性があります。

Secure Access Service Edgeを日本語に直訳すると、「安全なアクセスを提供するエッジ」となります。エッジとは利用者がアクセスするクラウドのことです。SASEでは自社データセンターに集約して処理するのではなく、利用者から最も近いクラウドに分散させて処理します。その際、エッジ同士は中央のシステムでつながっており、どのエッジを利用しても統一されたポリシーのセキュリティとネットワークサービスが受けられます。

これに対して、従来のハブ・アンド・スポーク型では、すべてのトラフィックをセキュリティ機器が設置されている中央のデータセンターに集約させるため、どうしてもトラフィックの渋滞や遅延が発生してしまいます。

SASEの最大の特徴は、守りたいアプリケーションやデータの周囲に境界線を張り巡らせる古い概念を捨てて、利用者がどこにいるかに注目して、セキュリティをできるだけ利用者に近づけるという新しい概念を採用したことにあります。

SASEの導入により、ゼロトラスト実現によるセキュリティ強化はもちろん、テレワークに対応したネットワーク環境の実現、業務の生産性向上、運用の一元化による負担軽減などのメリットが享受できるとしています。

ゼロトラスト実現のためには、どのようなソリューションが必要なのでしょうか。現在のところ、これ一つを導入すればすべての機能を網羅できるというパッケージ化されたソリューションは存在しません。すでに実用化されているセキュリティ関連のソリューションを組み合わせて導入することになります。

ここでは、SASEのコア機能とされている5つのソリューション、具体的には包括的なWAN機能（SD-WAN）と包括的なネットワークセキュリティ機能（SWG、CASB、FWaaS、ZTNA）に加え、ゼロトラスト実現に有効とされている2つのソリューション（EDR、DLP）の合計7ソリューションの概要を説明します。